Сергей Петренко - Политики безопасности компании при работе в Интернет
- Название:Политики безопасности компании при работе в Интернет
- Автор:
- Жанр:
- Издательство:неизвестно
- Год:неизвестен
- ISBN:нет данных
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Сергей Петренко - Политики безопасности компании при работе в Интернет краткое содержание
Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения вопросов разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих структурах.
Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.
Политики безопасности компании при работе в Интернет - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
Суть политики
Владельцы и обязанности. Все внутренние серверы, развернутые в сети компании, должны быть закреплены за эксплуатационной группой, которая является ответственной за администрирование систем. Стандарты конфигурации серверов устанавливаются и поддерживаются эксплуатационной группой исходя из бизнес-потребностей, одобряются они отделом информационной безопасности. Эксплуатационные группы должны отслеживать соответствие конфигурации стандартам, а в случае необходимости – реализовывать отклонения от стандартов. Каждая эксплуатационная группа определяет процесс изменения стандартов конфигурации, который должен включать в себя анализ изменений и разрешение от отдела информационной безопасности.
Требования отдела информационной безопасности:
• серверы должны быть зарегистрированы в корпоративной системе управления компании. Как минимум, должна иметься следующая информация о сервере: ответственный, местоположение оборудования и ответственный за резервное копирование; производитель оборудования и версия операционной системы; основные функции и приложения;
• информация в корпоративной системе управления компании должна своевременно обновляться;
• изменения в конфигурациях серверов должны соответствовать процедурам управления изменениями.
Основные настройки конфигурации:
• конфигурация операционной системы должна быть произведена в соответствии с установленными отделом информационной безопасности стандартами;
• неиспользуемые сервисы и приложения должны быть отключены/удалены;
• доступ к сервисам должен журналироваться и/или защищаться с использованием методов контроля доступа;
• обновления средств безопасности должны быть установлены сразу после их появления, допустимо единственное исключение, когда приложение не может быть остановлено из-за его критичности;
• доверительные отношения между системами приводят к увеличению рисков безопасности. Не используйте доверительные отношения, если есть другой метод, способный реализовать необходимые задачи;
• необходимо всегда использовать принцип наименьших привилегий;
• не следует использовать администраторскую учетную запись, если можно выполнить задачу с применением непривилегированной учетной записи;
• привилегированный доступ, если это технически возможно, должен осуществляться с помощью SSH или IPSec;
• серверы должны быть физически расположены в помещении с ограниченным доступом;
• запрещается размещать серверы в незащищенных помещениях.Мониторинг. Все связанные с безопасностью события на критических или важных системах регистрируются, и журналы должны храниться следующим образом:
• все связанные с безопасностью события хранятся в офисе как минимум 1 неделю;
• ежедневные инкрементальные резервные копии хранятся в течение 1 месяца;
• еженедельные полные резервные копии журналов хранятся в течение 1 месяца;
• ежемесячные полные резервные копии хранятся как минимум 2 года;
• о событиях, связанных с нарушением безопасности, следует немедленно сообщать в отдел информационной безопасности, который будет проводить анализ и разбор инцидентов. При необходимости будут определены корректирующие меры защиты. События, связанные с нарушением безопасности, включают: сканирование портов, доказательства неправомерного доступа к привилегированным учетным записям, аномальные события, которые не связаны с нормальным функционированием приложений, и т. д.Соглашения:
• аудит будет проводиться регулярно;
• управление проведением аудита возлагается на группу внутреннего аудита или на отдел информационной безопасности, в соответствии с политикой аудита уязвимости. Отдел информационной безопасности обрабатывает полученные данные и затем представляет их в соответствующие группы для проведения корректирующих работ;
• должны быть предприняты все меры по недопущению выхода из строя оборудования или остановки сервисов во время проведения аудита.Ответственность К любому сотруднику, нарушившему эту политику, могут быть применены дисциплинарные меры, вплоть до увольнения.
Термины и определения
Демилитаризованная зона – часть сети компании, внешняя по отношению к корпоративной сети.
Сервер – в рамках этой политики сервер определяется как внутренний сервер компании. Компьютеры сотрудников и оборудование лабораторий не затрагиваются этой политикой.10. Политика виртуальных частных сетей
Цель Установить стандарты для удаленного доступа к внутренней корпоративной сети через виртуальные частные сети, построенные с использованием IPSec и L2TP.
Область действия Эта политика обязательна для всех сотрудников компании, внешних консультантов, временных и других работников, включая весь персонал сторонних организаций, использующий виртуальные частные сети для доступа в сеть компании. Эта политика применима и к реализации виртуальной частной сети с использованием IPSec-концентратора.
Суть политики
Определенному перечню сотрудников компании и сотрудников сторонних организаций разрешено пользоваться услугами виртуальной частной сети, которая является сервисом, «управляемым пользователем». Это означает, что сотрудник ответственен за выбор интернет-провайдера, проведение инсталляции необходимого программного обеспечения и оплату связанных с этим расходов. Дальнейшие детали могут быть уточнены в политике удаленного доступа.
Дополнительно следует иметь в виду:
• сотрудник, имеющий доступ в корпоративную сеть через виртуальную частную сеть, несет ответственность за недопущение доступа посторонних лиц во внутреннюю сеть компании;
• аутентификация в виртуальной частной сети происходит с использованием или однократных (one-time) паролей, или архитектуры открытых ключей с устойчивыми к взлому ключевыми фразами;
• после установления виртуальной частной сети весь трафик будет идти только через туннель, весь другой трафик будет блокироваться;
• двойные туннели запрещены, разрешено только одно сетевое соединение;
• точки терминирования трафика виртуальных частных сетей будут устанавливаться и обслуживаться группой сетевых операций;
• на всех компьютерах, получающих доступ к внутренней корпоративной сети, должно быть установлено принятое в качестве обязательного в компании антивирусное программное обеспечение с самыми последними обновлениями антивирусных баз;
• соединение через виртуальную частную сеть будет прервано в случае 30-минутного бездействия сотрудника. После этого сотрудник должен снова установить соединение. Использование ping или подобных средств для поддержания активности соединения запрещено;
Читать дальшеИнтервал:
Закладка:
